maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/microsoft-sh

Browse Source
This commit is contained in:
Translator 2025-08-10 18:33:11 +00:00
parent 0abf9ec3ee
commit cced0b6033
1 changed files with 55 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

58
src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
View File

@ -21,7 +21,7 @@ curl -s https://<host>/_layouts/15/init.js | grep -i "spPageContextInfo"
# enumerate sites & site-collections (requires at least Anonymous)
python3 Office365-ADFSBrute/SharePointURLBrute.py -u https://<host>
```
## 2. Cadeia de exploração 2025 (a.k.a. “ToolShell”)
## 2. 2025 cadeia de exploração (a.k.a. “ToolShell”)
### 2.1 CVE-2025-49704 Injeção de Código em ToolPane.aspx
@ -88,10 +88,61 @@ Mesma shell, mas:
* nomes de variáveis reduzidos a letras únicas
* `Thread.Sleep(<ms>)` adicionado para evasão de sandbox e bypass de AV baseado em tempo.
### 3.4 Backdoor multi-protocolo AK47C2 & ransomware X2ANYLOCK (observado 2025-2026)
Investigações recentes de resposta a incidentes (Unit42 “Projeto AK47”) mostram como os atacantes aproveitam a cadeia ToolShell **após RCE inicial** para implantar um implante C2 de canal duplo e ransomware em ambientes SharePoint:
#### AK47C2 variante `dnsclient`
* Servidor DNS hard-coded: `10.7.66.10` comunicando com o domínio autoritativo `update.updatemicfosoft.com`.
* Mensagens são objetos JSON criptografados com XOR usando a chave estática `VHBD@H`, codificados em hex e incorporados como **rótulos de subdomínio**.
```json
{"cmd":"<COMMAND>","cmd_id":"<ID>"}
```
* Consultas longas são divididas em partes e prefixadas com `s`, depois reagrupadas no lado do servidor.
* O servidor responde em registros TXT carregando o mesmo esquema XOR/hex:
```json
{"cmd":"<COMMAND>","cmd_id":"<ID>","type":"result","fqdn":"<HOST>","result":"<OUTPUT>"}
```
* A versão 202504 introduziu um formato simplificado `<COMMAND>::<SESSION_KEY>` e marcadores de partes `1`, `2`, `a`.
#### AK47C2 variante `httpclient`
* Reutiliza o mesmo JSON & rotina XOR, mas envia o blob hex no **corpo HTTP POST** via `libcurl` (`CURLOPT_POSTFIELDS`, etc.).
* Mesmo fluxo de tarefa/resultado permitindo:
* Execução arbitrária de comandos de shell.
* Intervalo de sono dinâmico e instruções de kill-switch.
#### Ransomware X2ANYLOCK
* Payload C++ de 64 bits carregado através de side-loading de DLL (veja abaixo).
* Emprega AES-CBC para dados de arquivo + RSA-2048 para embrulhar a chave AES, depois anexa a extensão `.x2anylock`.
* Criptografa recursivamente unidades locais e compartilhamentos SMB descobertos; ignora caminhos do sistema.
* Lança nota em texto claro `How to decrypt my data.txt` incorporando um **Tox ID** estático para negociações.
* Contém um **kill-switch** interno:
```c
if (file_mod_time >= "2026-06-06") exit(0);
```
#### Cadeia de side-loading de DLL
1. O atacante escreve `dllhijacked.dll`/`My7zdllhijacked.dll` ao lado de um legítimo `7z.exe`.
2. O `w3wp.exe` gerado pelo SharePoint inicia `7z.exe`, que carrega a DLL maliciosa devido à ordem de busca do Windows, invocando o ponto de entrada do ransomware na memória.
3. Um loader LockBit separado observado (`bbb.msi``clink_x86.exe``clink_dll_x86.dll`) descriptografa o shell-code e realiza **DLL hollowing** em `d3dl1.dll` para executar LockBit 3.0.
> [!INFO]
> O mesmo Tox ID estático encontrado no X2ANYLOCK aparece em bancos de dados vazados do LockBit, sugerindo sobreposição de afiliados.
---
## 4. Ideias de detecção
| Telemetria | Por que é suspeito |
|------------|---------------------|
|-----------|----------------------|
| `w3wp.exe → cmd.exe` | O processo de trabalho raramente deve gerar shell |
| `cmd.exe → powershell.exe -EncodedCommand` | Padrão clássico de lolbin |
| Eventos de arquivo criando `debug_dev.js` ou `spinstall0.aspx` | IOCs diretamente do ToolShell |
@ -104,7 +155,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
## 5. Dureza & Mitigação
1. **Patch** Atualizações de segurança de julho de 2025 corrigem *todos* os quatro CVEs.
2. **Rotacione** todos os segredos `<machineKey>` e `ViewState` após a violação.
2. **Rotacione** todos os segredos de `<machineKey>` e `ViewState` após a violação.
3. Remova a permissão de escrita *LAYOUTS* dos grupos `WSS_WPG` & `WSS_ADMIN_WPG`.
4. Bloqueie o acesso externo a `/_layouts/15/ToolPane.aspx` no nível de proxy/WAF.
5. Ative **ViewStateUserKey**, **MAC habilitado** e *EventValidation* personalizado.
@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
- [Unit42 Exploração Ativa de Vulnerabilidades do Microsoft SharePoint](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/)
- [GitHub PoC Cadeia de exploração ToolShell](https://github.com/real-or-not/ToolShell)
- [Microsoft Security Advisory CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704)
- [Unit42 Projeto AK47 / Atividade de Exploração do SharePoint & Ransomware](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/)
- [Microsoft Security Advisory CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770)
{{#include ../../banners/hacktricks-training.md}}